某微信小程序未授权漏洞挖掘(置空查询思路)
某微信小程序未授权漏洞挖掘(置空查询思路) 明暗安全 2024-07-13 10:04 01 原创说明 本篇文章为苏木师傅实战案例分享 02 渗透记录 微信小程序 xxx ,点击门卡 -点击添加密码-截获数据包查看返回包可查看密码 ,可越权授权如何手机号开门权限 03 未授权一 删除 userid和bind数值可查看全部用户密码 数据包: GET/prod-api/nfc/device/list?
继续阅读标签: 漏洞
「漏洞复现」用友U8 Cloud MeasQueryConditionFrameAction SQL注入漏洞
「漏洞复现」用友U8 Cloud MeasQueryConditionFrameAction SQL注入漏洞 冷漠安全 冷漠安全 2024-07-13 09:53 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅
继续阅读CVE-2024-6188 漏洞复现
CVE-2024-6188 漏洞复现 原创 fgz AI与网安 2024-07-13 09:02 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 Parsec Automation TrackSYS 敏感数据泄露 漏洞 02 — 漏洞影响 Pars
继续阅读掌握“宇宙高维智慧”?网红“苗圣”被捕;|Outlook 被曝严重远程执行漏洞:影响 5 亿用户,可窃取信息、执行恶意代码;
掌握“宇宙高维智慧”?网红“苗圣”被捕;|Outlook 被曝严重远程执行漏洞:影响 5 亿用户,可窃取信息、执行恶意代码; 黑白之道 2024-07-13 08:54 掌握“宇宙高维智慧”“特异功能”?网红“苗圣”诈骗粉丝被捕 7 月 12 日消息,据公安部网安局披露,近期,贵州省黔东南州公安机关网安部门成功侦破一起“网红”自诩“修炼得道成佛”,打着治病消灾、驱瘟解蛊等旗号,编造、散布封建迷信言
继续阅读漏洞预警 | 号卡极团分销管理系统任意文件上传漏洞
漏洞预警 | 号卡极团分销管理系统任意文件上传漏洞 浅安 浅安安全 2024-07-13 08:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 号卡极团分销商城管理系统,同步对接多平台,同步订单信息,支持敢探号一键上架。 0x03 漏洞详情 漏洞类型: 文件上传 影响: 接管服务器**** 简述: 号卡极团管理系统的ue_serve
继续阅读漏洞预警 | 宏景HCM SQL注入漏洞
漏洞预警 | 宏景HCM SQL注入漏洞 浅安 浅安安全 2024-07-13 08:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 宏景人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 宏景HCM的
继续阅读【车联网】车载可用摄像头漏洞研究(转载)
【车联网】车载可用摄像头漏洞研究(转载) 车联网攻防日记 车联网攻防日记 2024-07-12 22:54 硬件探索 由于没有外壳与系统进行交互,也没有明文固件可供分析,我们不得不借助内存转储来进行任何工作。该型号内部由 2 块 PCB 组成,有屏蔽罩隐藏芯片组。拆除后,可以识别芯片组制造商和型号。SoC 是赛普拉斯(现为英飞凌)CYW43012,辅以 OA00804-B56G 视频处理器(最接近
继续阅读JeecgBoot指纹与漏洞利用工具
JeecgBoot指纹与漏洞利用工具 进击的HACK 2024-07-12 21:57 声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 概述 官网:https://jeecg.com/源码下载:https://github.com/jeecgboot/JeecgBoot JeecgBoot指纹 fofa title=&
继续阅读漏洞poc指纹整合管理,漏洞扫描工具 – GoT
漏洞poc指纹整合管理,漏洞扫描工具 – GoT GSDK GSDK安全团队 2024-07-12 21:14 01 项目地址 https://github.com/AgentVirus/GoT 02 项目介绍 漏洞poc指纹整合管理,漏洞扫描工具。基于sqlite数据对网站指纹和POC进行管理使用,此工具的开发目的是存储各个框架的识别指纹,并减少批量遗漏、poc脚本编写和管理的努力。
继续阅读谷歌发力争夺漏洞资源,漏洞赏金再提高5倍
谷歌发力争夺漏洞资源,漏洞赏金再提高5倍 小薯条 FreeBuf 2024-07-12 19:16 近日,谷歌宣布,将对通过漏洞奖励计划报告的系统和应用程序中发现的漏洞赏金提高五倍,单个安全漏洞的新最高奖励金额为 15.15万美元。 谷歌表示:随着时间的推移,我们的系统已经变得更加安全,因此想要发现漏洞比之前更加困难,可能需更长的时间。鉴于此,我们将把奖励金额提高 5 倍。 如果在谷歌最敏感的产品
继续阅读新中新中小学智慧校园信息管理系统存在SQL注入漏洞
新中新中小学智慧校园信息管理系统存在SQL注入漏洞 小白菜安全 小白菜安全 2024-07-12 19:06 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范围 漏洞复现
继续阅读【安全圈】谷歌发力争夺漏洞资源,漏洞赏金再提高5倍
【安全圈】谷歌发力争夺漏洞资源,漏洞赏金再提高5倍 安全圈 2024-07-12 19:03 关键词 安全漏洞 近日,谷歌宣布,将对通过漏洞奖励计划报告的系统和应用程序中发现的漏洞赏金提高五倍,单个安全漏洞的新最高奖励金额为 15.15万美元。 谷歌表示:随着时间的推移,我们的系统已经变得更加安全,因此想要发现漏洞比之前更加困难,可能需更长的时间。鉴于此,我们将把奖励金额提高5倍。 如果在我们最敏
继续阅读【已复现】ServiceNow 存在代码注入漏洞(CVE-2024-4879、CVE-2024-5217)
【已复现】ServiceNow 存在代码注入漏洞(CVE-2024-4879、CVE-2024-5217) 原创 聚焦网络安全情报 安全聚 2024-07-12 19:00 预警公告 严重 近日,安全聚实验室监测到 ServiceNow 中存在代码注入漏洞 ,编号为:CVE-2024-4879、CVE-2024-5217,CVSS:9.8 该漏洞由于输入验证不严格允许未经身份验证的远程攻击者执行
继续阅读【漏洞预警】RADIUS响应篡改漏洞CVE-2024-3596
【漏洞预警】RADIUS响应篡改漏洞CVE-2024-3596 cexlife 飓风网络安全 2024-07-12 18:54 漏洞描述: RADIUS协议是用于远程用户认证和授权的网络协议,广泛用于网络访问的场景,例如Wi-Fi、VPN、以及网络设备管理等,受影响版本中,由于RADIUS 的认证响应验证使用了不安全加密的验证方法,具有本地网络访问权限的攻击者可以在传输RADIUS协议的网络中进行
继续阅读【漏洞预警】ServiceNow Glide表达式注入漏洞CVE-2024-5217
【漏洞预警】ServiceNow Glide表达式注入漏洞CVE-2024-5217 cexlife 飓风网络安全 2024-07-12 18:54 漏洞描述: ServiceNow是一个商业的软件平台,专注于企业的数字化工作流和IT服务管理(ITSM),ServiceNow Glide是ServiceNow 平台中的一组API和工具,用于在服务门户中创建服务请求和脚本,受影响版本中,由于Glid
继续阅读GeoServer 远程代码执行漏洞分析 (CVE-2024-36401)
GeoServer 远程代码执行漏洞分析 (CVE-2024-36401) 元亨-blckder02 中孚安全技术研究 2024-07-12 18:34 一、前言 官方公告: https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv https://github.com/geotools/geoto
继续阅读谷歌系统和应用的最高漏洞奖励提升至5倍,达151k美元
谷歌系统和应用的最高漏洞奖励提升至5倍,达151k美元 Sergiu Gatlan 代码卫士 2024-07-12 18:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌宣布将通过漏洞奖励计划 (VRP) 报送的系统和应用奖励提升至原来的5倍,最高赏金达151515美元。 谷歌表示,“随着我们的系统变得越来越安全,我们知道找到漏洞所花费的时间也越来越长,因此我们很高兴宣布将漏洞奖励
继续阅读【已复现】泛微e-cology WorkflowServiceXml SQL注入漏洞
【已复现】泛微e-cology WorkflowServiceXml SQL注入漏洞 长亭安全应急响应中心 2024-07-12 18:31 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。2024年7月,泛微官方发布了新补丁,修复了一处SQL注入漏洞。经分析,攻击者无需认证即可利用该漏洞,建议受影响的客户尽快修复漏洞。 漏洞描述 Des
继续阅读CVE-2024-32030 Apache Kafka UI 远程代码执行漏洞分析
CVE-2024-32030 Apache Kafka UI 远程代码执行漏洞分析 原创 李祺君 华为安全应急响应中心 2024-07-12 18:10 1 前言 CVE-2024-32030漏洞修复的文件变更中,将commons-collections从kafka-json-schema-serializer依赖中剔除,更改为 commons-collections4 ,很容易看出此举是为了消除
继续阅读GitLab漏洞允许攻击者以其他用户身份运行流水线作业
GitLab漏洞允许攻击者以其他用户身份运行流水线作业 看雪学苑 看雪学苑 2024-07-12 17:59 据GitLab于7月10日发布的公告,其最近修复了一个影响GitLab社区版和企业版的漏洞,该漏洞允许攻击者以其他用户的身份执行流水线作业,对全球用户构成了重大威胁。 GitLab的流水线(Pipeline)是平台持续集成/持续部署(CI/CD)系统的核心功能,供开发人员自动运行流程任务以
继续阅读V8 torque函数PromiseAllResolveElementClosure 相关的issue和POC的探索
V8 torque函数PromiseAllResolveElementClosure 相关的issue和POC的探索 苏啊树 看雪学苑 2024-07-12 17:59 最近无意刷到看到一篇v8CTF的文章,原本想看一下学习下v8沙箱绕过的姿势,看了作者的slides却是第一时间被作者圈起来的这个PromiseAllResolveElementClosure builtin函数所吸引,查了下是v8
继续阅读Yak与nuclei的深度融合:打造高效漏扫生态,解锁PoC管理新姿势
Yak与nuclei的深度融合:打造高效漏扫生态,解锁PoC管理新姿势 原创 intSheep Yak Project 2024-07-12 17:31 在Yakit中使用nuclei很简单,只需要几行代码。在Yak Runner中,使用下面代码,指定扫描的目标与选项,便能调用nuclei的漏扫能力: results:=nuclei.Scan(target,opts…)~for result
继续阅读严重漏洞披露,影响Microsoft Outlook 应用程序
严重漏洞披露,影响Microsoft Outlook 应用程序 网络安全应急技术国家工程中心 2024-07-12 14:56 安全研究人员发现了一个严重漏洞 CVE-2024-38021,该漏洞影响大多数 Microsoft Outlook 应用程序。 该零点击远程代码执行 (RCE) 漏洞现已被 Microsoft 修补,并且不需要任何身份验证,这与之前发现的 CVE-2024-30103 不
继续阅读官方强烈建议升级,GitLab又曝严重的账户接管漏洞
官方强烈建议升级,GitLab又曝严重的账户接管漏洞 关键基础设施安全应急响应中心 2024-07-12 14:55 7月10日,GitLab警告称,其产品GitLab社区和企业版本中存在一个严重漏洞,允许攻击者以任何其他用户的身份运行管道作业。 GitLab DevSecOps平台拥有3000多万注册用户,活跃用户数仅次于 GitHub,超过50%的财富100强公司都在使用该平台,包括T-Mob
继续阅读微软2024年7月补丁日重点漏洞安全预警
微软2024年7月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2024-07-12 11:05 补丁概述 2024 年 7 月 9 日,微软官方发布了 7 月安全更新,针对 139 个 Microsoft CVE( 其中 CVE-2024-38075 列在本月更新记录中,但并未公开漏洞详情) 和 4 个 non-Microsoft CVE 进行修复。 已公开详情的 Mi
继续阅读若依4.7.8版本计划任务rce复现
若依4.7.8版本计划任务rce复现 笑笑 JOY的安全屋 2024-07-11 22:49 点击上方 蓝字关注我们 0x00 背景 最近项目中发现很多单位都使用了若依二开的系统,而最近若依有个后台计划任务rce的漏洞,比较新,我还没复现过,于是本地搭建一个若依环境复现一下这个漏洞。这个漏洞在4.7.8版本及之前都存在,现在最新版的若依也只更新到了4.7.9版本。 0x01环境搭建 下载若依4.7
继续阅读微软警告称 Windows Hyper-V 零日漏洞正受到利用
微软警告称 Windows Hyper-V 零日漏洞正受到利用 信息安全大事件 2024-07-11 22:04 微软7月补丁日推出大量更新,以修复 Windows 生态系统中的安全漏洞,并警告称攻击者已经在野利用 Windows Hyper-V 权限提升漏洞。 微软在一份公告中表示:“成功利用此漏洞的攻击者可以获得系统权限”,并将 Hyper-V 问题标记为“检测到利用”类别。 编号为CVE-2
继续阅读FastJson全版本Docker漏洞环境
FastJson全版本Docker漏洞环境 lemono0 WIN哥学安全 2024-07-11 20:36 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! FastJsonParty 介绍 FastJson全版本Docker漏洞环境(涵盖
继续阅读强力亲推:专属于大学生的SRC漏洞挖掘课程来啦!!
强力亲推:专属于大学生的SRC漏洞挖掘课程来啦!! 原创 庆尘 Daylight庆尘 2024-07-11 20:01 01 引言 Original intention 大家好,我是Day1安全团队的庆尘,前段时间在公众号发了一篇《从“庆尘”到“庆佬”:我在Day1安全团队的成长之旅》 的博客自传,引起了不少人的共鸣,特别是跟我差不多年龄的“大学生”师傅们,由于我自己也是这样过来的,所以我也能理解
继续阅读第98篇:Struts2全版本漏洞检测工具19.32版本更新
第98篇:Struts2全版本漏洞检测工具19.32版本更新 原创 abc123info 希潭实验室 2024-07-11 19:54 Part1 前言 大家好,我是ABC_123 。在8年前(2016年5月)使用netbeans依靠java语言编写了Struts2漏洞检测工具,期间一直不断更新,更新时间已达8年之久。现在ABC_123对于此工具的更新,更多是一种情怀,也是一种研究性实验性工作。目
继续阅读